@Azrael: IS01でキーフック

ページ

2010年8月20日金曜日

IS01でキーフック

IS01にはキーフック用のクラスが存在します。
本来使用するにはパーミッション&適切な署名が必要なのですが
チェックの仕方が甘く、パーミッション無しでも使用可能になっています。

サンプル

マーケットに上げて怒られると嫌なので野良で置いておきます。
入力されたキーコードを表示するだけのプログラムです。
他のアプリケーションを操作していてもキーを拾えています。
インストール時やアプリケーションの詳細から見てもらえば分かると思いますが、
パーミッションは何も必要としていません。
ユーザが気づかないうちにキーロガーを仕込まれる可能性があり、危険です。

KDDIさんやシャープさんが気づいているのか分かりませんが、
アップデートで修正されることを期待しています。

.

4 件のコメント:

  1. KDDIかシャープかIPAに脆弱性報告したほうが良いのでは?

    返信削除
  2. 必要だと思われた方が報告されれば良いかと思います。

    上記の動作は仕様が非公開のため、私には意図したものなのか判断できません。キーフックについても、OSによってはAPIが用意されているものもあり、それ自体が脆弱性というわけではありません。(携帯向けのOSでは必要無いと思いますが…)

    と、あれこれ書いてますが、本当は面倒だっただけです…

    返信削除
  3. 連絡なしでサンプルコードを公開するのは、ゼロデー攻撃だと思う。先方に連絡して準備が整ってから公開するのがマナーだし、マーケットで削除されることを理解していて野良に置いているのは確信犯だよな~。

    返信削除
  4. サンプルコードは公開してませんよ
    サンプルアプリを解析して何をやっているのかわかるような人だったら、フレームワークでも解析した方が速いです。

    返信削除